Продолжаем серию материалов об особенностях найма IT-профессионалов. На этот раз разобрались в тонкостях подбора специалистов по информационной и кибербезопасности. В этом нам помогли основатель кадрового агентства SmartyHR Ольга Теленова и Technical Talent Acquisition Specialist в F.A.C.C.T. Ульяна Тарасевич.
Эту статью мы выпустили в двух частях. Перед вами первая часть, где мы рассказываем, чем занимаются специалисты по инфобезу и где их искать. А во второй части углубимся в детали найма и оценки навыков кандидатов.
Кто такой специалист по информационной безопасности (ИБ)
Специалисты по инфобезу обеспечивают конфиденциальность, целостность и доступность данных. Например, они могут заниматься защитой информации от утечек или несанкционированного доступа.
При этом часть специалистов по информационной безопасности напрямую с IT-сферой не связаны. Физический архив с ценными бумагами тоже нуждается в правильной защите. Для этого разрабатываются нормы и стандарты, за соблюдением которых также следит специалист по информационной безопасности.
В этом материале мы будем говорить о людях, которые защищают цифровые данные и работают в IT-сфере.
Можно выделить две основные группы таких сотрудников:
- Специалисты по «бумажной безопасности». Такие люди хорошо ориентируются в законодательной базе в сфере ИБ. Их экспертиза находится на стыке знаний правовых аспектов, IT-индустрии и психологии.
- Специалисты по практической безопасности. Они разрабатывают средства защиты информации, занимаются установкой и настройкой software- и hardware-инструментов в конкретных компаниях. К этой группе относят и специалистов по кибербезопасности.
Схематично взаимоотношений этих сфер деятельности можно изобразить так:
Специалистов по информационной безопасности можно разделить и по другому принципу:
- инхаус-сотрудники — те, кто работает внутри компании;
- консультанты, которые работают в системном интеграторе и взаимодействуют с разными заказчиками. Их работа проектная: после решения задачи одного клиента специалист переключается на другой проект;
- разработчики решений для защиты информации.
В этой статье Ольга поделилась экспертизой в подборе специалистов по «бумажной безопасности» в системные интеграторы, а Ульяна рассказала, как искать и собеседовать специалистов по практической безопасности для работы в штате компании.
Что происходит на рынке
Ольга Теленова:
На специалистов по информационной безопасности крайне высокий спрос. Даже существующие образовательные программы не справляются с поставкой кадров. Во многом ажиотаж объясняется опубликованным в мае 2022 указом президента «О дополнительных мерах по обеспечению информационной безопасности РФ». Этот указ требует от компаний ужесточить политики информационной безопасности, а для этого нужны соответствующие специалисты.
Специалисты по информационной безопасности из Москвы уровней миддл и сениор получают по 5–7 офферов в неделю.
Джунов с опытом от года обычно нанимают во внутренние команды компаний с выстроенной системой наставничества. В системные интеграторы ищут опытных самостоятельных специалистов, которых не придется обучать с нуля. Обычно это профессионалы уровня «джун+» и выше. Они должны уметь быстро переключаться между проектами, погружаться в новые вводные данные, работать в высоком темпе, уверенно чувствовать себя в переговорах.
Специалист из системного интегратора может перейти в любую компанию и легко там адаптироваться. Такие сотрудники обладают универсальным опытом: они взаимодействуют с разными клиентами, работают в высоком темпе, знают много нормативных актов, пишут различную документацию — модели угроз, политики инфозащиты. Консультанты проводят аудит на соответствие требованиям:
- ГОСТ Р 57580.1;
- положениям Банка России №382-П, 672-П, 683-П;
- ISO/IEC 27001;
- Федеральному закону «О персональных данных».
В обратную сторону переходы происходят довольно редко. Один из наших заказчиков рассказал, что лишь 10% сотрудников перешли в компанию-интегратор с инхаус-позиций.
Ульяна Тарасевич:
Кроме необходимости ужесточать политики безопасности, многим компаниям приходится открывать внутренние SOC — Security Operation Center. Для этого требуются квалифицированные специалисты.
Сейчас на рынке спрос значительно выше предложения: нанять хорошего разработчика проще, чем специалиста по кибербезопасности. Предполагаю, что из-за дефицита кадров будут увеличиваться зарплатные вилки и перегреется рынок.
В кибербезопасности постоянно появляются новые роли: к SOC-аналитикам, DevSecOps или пентестерам добавляются позиции вроде threat hunter.
Где готовят специалистов по безопасности
Ульяна Тарасевич:
Программы подготовки специалистов по информационной безопасности есть как минимум в 50 вузах России, а также колледжах и техникумах.
В некоторых вузах студенты учатся на направлении «Информационная безопасность» по несколько устаревшим технологиям и доучиваются самостоятельно. В других университетах есть лаборатории от IT-компаний, где они разворачивают свое ПО, а их сотрудники читают лекции и обучают студентов на реальных кейсах. Для студентов также организуют стажировки в этих компаниях с возможностью получить приглашение в штат на позицию джуна. Например, в нашей компании стажировку сейчас проходят 15 человек.
Готовят специалистов и онлайн-школы:
Выпускников онлайн-университетов можно рассматривать на начальные роли в инхаус. Например, мы сотрудничаем с известной образовательной платформой: приглашаем на стажировки людей, которые закончили там обучение. При этом даже с сертификатом о прохождении курсов всем выпускникам требуется усиленная самоподготовка, чтобы претендовать даже на самые младшие позиции. Рекомендую обращать на это внимание при подборе.
О зарплатах
Ольга Теленова:
Оклад специалиста по ИБ зависит от компании, опыта работы и компетенций. При этом общий доход консультанта складывается не только из оклада, но и весомых проектных премий.
Приведу примерные оклады по каждому грейду без учета премий:
Ульяна Тарасевич:
В каждом направлении кибербезопасности по-разному определяют необходимый уровень для перехода с грейда на грейд. Я не поддерживаю идею определять уровень специалиста по количеству лет в профессии. Будем говорить о полноте знаний и навыков, применимых к конкретным ролям.
Оклады сильно разнятся в зависимости от задач и проектов. Поэтому я назову очень приблизительные вилки инхаус-специалистов:
Где и как искать специалистов по информационной безопасности
Ольга Теленова:
Как правило, мы начинаем подбор в традиционной рекрутерской триаде: Хедхантер, Линкедин, Хабр. Используем внутренний поиск и пишем булевые запросы.
При поиске специалистов по ИБ важно сразу задействовать и другие каналы: конкуренция за кандидатов слишком высока, поэтому надо расширять воронку подбора.
Где еще можно искать кандидатов:
- Каналы и чаты в телеграме:
- Профильные мероприятия — митапы и конференции. Например, мы искали участников SOC Форум в соцсетях по хэштегу #SOCforum.
- Сообщества. В группах вроде CISOCLUB – информационная безопасность можно не только следить за новостями индустрии и тенденциями, но и изучать фотографии с мероприятий и «лайки» под постами.
Можно придумывать любые нетривиальные способы. Однажды мы искали кандидатов так:
- Составили список конкурентов и компаний-доноров, чьи специалисты нам были интересны.
- Нашли профили сотрудников таких компаний в социальных сетях. Нас особенно интересовали те, кто активно делится деталями жизни компании, — эйчары, руководители отделов, менеджеры по продажам, собственники бизнеса.
- Изучили фотографии в профилях этих людей — искали коллективные фотографии с корпоративов.
- Нашли нужных нам людей с общих фото в Яндекс Картинках.
Особенность поиска специалистов по информационной безопасности в том, что кандидаты могут по-разному называть свое резюме:
- специалист по ИБ,
- инженер по ИБ,
- консультант по ИБ,
- главный специалист по ИБ,
- information security consultant,
- консультант,
- аудитор,
- аналитик.
Если искать специалистов по названию должности, в выдаче будет много нерелевантных результатов. Поэтому я рекомендую в запросе использовать названия конкретных законов и нормативных актов, которые должны знать такие кандидаты. Например, в качестве ключевого слова можно использовать «152-ФЗ» или «№152 ФЗ “О персональных данных”». Можно использовать и формулировки из описания должностных обязанностей, например, «разработка модели угроз».
Ульяна Тарасевич:
Расскажу о нетривиальных каналах поиска.
Хантинг «звезд» индустрии
Часто на позиции сениоров или выше требуются единороги — специалисты, которые хорошо разбираются в определенной области, пишут статьи, отчеты и книги-бестселлеры на эти темы. Приходится искать их контакты через знакомых и профессиональные комьюнити, а потом писать им напрямую.
Поиск кандидатов среди участников CTF-соревнований
CTF-соревнования — это состязания по спортивному хакингу. Обычно в таких состязаниях участвуют команды из разнопрофильных специалистов: один решает OSINT-задачи, другой занимается реверсным анализом, третий пишет код, четвертый отвечает за инфраструктуру.
Бывали случаи, когда мы нанимали специалистов целыми командами: выходили на контакт с одним из участников, а он звал за собой всех остальных. Найти команды можно на сайтах соревнований. Самое крупное и горячо любимое мной соревнование — VolgaCTF.
Мониторинг активности конкурентов и поиск по открытым источникам
Следите за анонсами и рассылками конкурентов о том, какие технологии они осваивают и что разрабатывают. Например, вы узнали, что некая компания использует такое же решение в сфере инфобеза, что и ваша. Тогда можно попробовать схантить ее сотрудников, если их опыт кажется вам релевантным. Здесь важно, чтобы хантинг был этичным.
Нетворкинг
Общайтесь со специалистами, которых недавно наняли, узнавайте у них слухи и новости индустрии: кто собирается переходить в другую компанию, кто с какими технологиями работает.
Полезно общаться «на будущее». Если сейчас у вас нет подходящей вакансии, ничего не мешает подружиться с кандидатом, познакомить его с компанией, чтобы оставаться на связи и пригласить на интервью позже.
Резюмируем
- Специалисты по информационной безопасности могут заниматься и защитой бумажных документов от несанкционированного доступа. Но обычно такие специалисты работают преимущественно с нормативной базой, а не занимаются техническими нюансами.
- Специалист по информационной безопасности обеспечивает конфиденциальность, целостность и доступность информации.
- Специалисты по ИБ работают внутри компаний или в системных интеграторах — организациях, которые реализуют проекты для разных заказчиков и разрабатывают решения для защиты данных.
- Выделяют также специалистов по «бумажной» и практической информационной безопасности.
- После указа «О дополнительных мерах по обеспечению информационной безопасности РФ» спрос на экспертов в сфере ИБ резко вырос. Однако востребованы специалисты уровня «практически мидл», «мидл» и выше.
- Специалистов по информационной безопасности готовят в десятках российских вузов и колледжей, а также в онлайн-университетах и на курсах.
- Выпускников онлайн-курсов можно приглашать на стажировки, а в редких случаях — на позицию джуна. Знаний и опыта, полученного на курсах, обычно недостаточно. Отдавайте предпочтение тем, кто занимается активной самоподготовкой.
- Где искать кандидатов:
- на Хедхантере,
- на Хабре,
- в Линкедине,
- в тематических телеграм-чатах и каналах,
- в профильных комьюнити,
- на тематических мероприятиях,
- на отраслевых соревнованиях,
- в компаниях-конкурентах,
- среди «звезд» индустрии.
- Лучше искать кандидатов не по названию должности, а по ключевым словам — названиям технологий или законов.